迅速改善你的安全环境的五条捷径

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：乍得·佩林

为了回应来自恶意工具的挑战，你也许已经尽可能有效地对IT资源进行了保护。甚至不可抗拒力也被包括在内了。但总是有至少一个危险存在的：你自身意外带来的安全漏洞。
-------------------------------------------------------------------------------------------

将破坏系统安全的所有方法列出来是一件不可能的事情，因为它们是如此之多，以至于数不过来。什么样的错误都是可能发生的。下面的列表不过是在短短几年出现过的常见的例子，在这个世界上每天都有某人某处在内部偶然地破坏安全。

1.信任和安全：不要在别人的电脑上输入网上银行的密码。不要相信品牌。不要相信不信任你的安全系统。不要相信政府。甚至对于你自己，也不要相信太多。就是因为信任，才会在安全方面造成致命的漏洞。

2.无知和安全：我们大多数人可能都知道，不了了之是不安全的。但这并不意味着我们不尝试利用不明确的安全措施，有时甚至是在不知道我们正做什么的情况下。Google和Yahoo对Flash内容的索引就是一个很好的例子。这个索引包含了Flash对象编码时的很多敏感信息，并且可以被所有了解的人查看。创造安全过滤的人并没有有意识到，实际上是默默无闻才带来安全。关于技术方面的很多问题，他们并不了解，结果就是对默默无闻成为了保护资料的关键并没有足够的认识。不要再犯这样的错误，了解你使用的安全技术的本质。

3.电子邮件加密与安全：你是否通过电子邮件发送商业机密？你的网站是否通过电子邮件恢复密码？如果这些电子邮件是不加密的，就基本上等于将秘密交给所有想得到这些信息的人。在这方面，尤其令人震惊的例子是通过Tor网络发送未加密的电子邮件。

4.加密与安全：就象匿名的Tor网络一样，加密技术本身并不是一个神奇的灵丹妙药。在利用OpenPGP协议对通信进行保护的时间，你不得不对收到的所有加密邮件进行解密。为了保证通信的安全，你必须保护好私人密钥和访问它时使用的密码。如果保存私人密钥的系统，在解密和阅读收到的邮件的时间是不可靠的，也就意味着加密是不可靠的。在一些系统中，可能还会出现更简单的安全问题，未经授权的访问可能允许别人复制了你的私人密钥，键盘记录程序可以在你输入的时间捕获密码。更坏的情况也可能出现，当使用别人的电脑进行加密的时间，你可能并不了解系统的安全措施，以及他们是否值得被信任。最后，如果你的安全密钥的效力很低的话，选择加密邮件不如直接采用纯文本格式。采用纯文本格式的邮件，至少可以保证它是否被保护。

5.不可能胜利的战斗：要明智地进行战斗。不要花费大量精力去保护不能有效保护的对象。如果加密影响到正在运行的商业模式的话，你就需要对这种模式进行重新考虑了；因为这可能是固有的缺陷，投入再大也无法解决。如果这种商业模式本身就建立在失败的基础上的话，不要怨天尤人，也不要给自己找借口，浪费时间和精力，象阿Q一样沉浸在遥不可及的目标中。商业模式的错误不是人力所能够改变的。

不要犯上面提到的错误。仔细考虑，看看它们是不是有可能对你造成影响。象一个专业的安全人士一样进行独立思考，找出可能存在的问题和漏洞。